Is de fleetsector klaar voor GDPR?

Al maanden wordt erover gepraat en gespeculeerd: op 25 mei treedt de Algemene Verordening Gegevensbescherming, beter bekend als GDPR (General Data Protection Regulation), in werking. Maar waarom is deze Europese wetgeving belangrijk voor de fleetwereld? En waarom is iedereen er zo bang voor?

Die laatste vraag is eigenlijk heel simpel te beantwoorden. Bedrijven die zich niet conform de GDPR-wetgeving tonen, kunnen een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet onder de neus geschoven krijgen. En zoiets heeft natuurlijk een afschrikkend effect.

Maar wat is GDPR nu precies? De wetgeving richt zich ertoe gevoelige persoonsgegevens te beschermen. En die gevoelige data heb je snel. Zo komt de fleetsector in contact met de persoonsgegevens van hun klanten, die ze in grote mate systematisch en op grote schaal gaan verwerken om contracten te beheren of bestuurders aan te spreken.

“Leasemaatschappijen en fleet managers bezitten informatie over de bestuurders van leasewagens. De meest voorkomende gegevens zijn identificatiegegevens, maar leasemaatschappijen kunnen ook een bepaald rijgedrag afleiden en bestuurders gaan profileren om specifiek te benaderen voor bijvoorbeeld preventief onderhoud of bandenwissel. Daarnaast kunnen leasemaatschappijen ook gevoelige persoonsgegevens verzamelen, zoals bijvoorbeeld ongevallen, boetes of veroordelingen van de bestuurder. Leasemaatschappijen moeten kunnen aantonen dat op een veilige manier met deze (gevoelige) persoonsgegevens wordt omgegaan.”, vertelt Wim Verbelen van BDO Risk & Assurance Services, dat zich specialiseert in deze nieuwe wetgeving.

Om conform de GDPR-wetgeving te zijn, moet je dus kunnen aantonen dat je gevoelige persoonsgegevens op een veilige manier verwerkt. En dat gebeurt op basis van verschillende soorten maatregelen volgens Verbelen: “Enerzijds dienen leasemaatschappijen maatregelen te nemen op het vlak van hun organisatie, zoals bijvoorbeeld een privacybeleid en interne bewustmakingscampagnes. Gezien leasemaatschappijen in hoge mate geautomatiseerd zijn, is daarnaast het technische aspect niet te verwaarlozen. IT-systemen moeten aangepast worden opdat persoonsgegevens op een veilige manier worden verwerkt, met zowel interne maatregelen zoals logische toegangsbeveiliging als externe maatregelen zoals netwerkbeveiliging en firewalls.

Communicatie is de sleutel

Tot slot dienen ook alle overeenkomsten met klanten en leveranciers worden geanalyseerd zodat rollen en verantwoordelijkheden naar de verwerking van persoonsgegevens toe duidelijk worden bevestigd. Dit juridische aspect zal voor vele leasemaatschappijen een doorgedreven oefening worden, gezien de vele betrokken partijen. Het resultaat van deze oefening zal een actieplan zijn, die maatregelen oplijst die dienen te worden genomen opdat persoonsgegevens op een passend beveiligingsniveau worden verwerkt, opdat de kans op datalekken tot een minimum wordt gereduceerd.”

GDPR vereist dat organisaties transparant zijn naar natuurlijke personen toe waarvoor zij persoonlijke gegevens verwerken. Daarbij is het volgens Verbelen noodzakelijk om met je werknemers of gebruikers te communiceren op basis van de zogeheten privacy notices. “Eigenlijk moet je aan je betrokkenen hebben meegedeeld welke informatie je verzamelt en voor welke doeleinden, welke partijen er betrokken worden in de verwerking, hoe lang de persoonsgegevens worden bijgehouden en of ze met derden worden gedeeld. Zomaar persoonsgegevens opvragen zonder doeleinden zal niet meer worden aanvaard.”

In die communicatie is het ook belangrijk te verantwoorden wat je met de gegevens doet. Wat is de reden dat je iets bijhoudt? In het geval van de fleetwereld kan je bijvoorbeeld je dienstverlening willen verbeteren of je businessmodel baseren op statistische modellen. In dat opzicht is het mogelijk om gegevens te gaan bijhouden over het verbruik en rijgedrag van bestuurders. “Big data is meer dan ooit “hot”, maar zomaar gegevens verzamelen zonder de nodige transparantie te bieden kan niet meer”.

Monsterboetes

Maar hoe zal nu gecontroleerd worden of je al dan niet conform de GDPR-wetgeving handelt? In België zal dat gebeuren door de privacycommissie. Nu heeft de commissie hoofdzakelijk een informerende rol, zonder veel slagkracht. “Maar dat verandert vanaf 25 mei”, legt Verbelen uit. “Dan krijgt de commissie de naam ‘Gegevensbeschermingsautoriteit’ (GBA) en wordt haar rol uitgebreid. Naast een informatieve rol zal de GBA ook inspecterende verantwoordelijkheden krijgen. Zij wordt bevoegd om bij organisaties na te gaan welke maatregelen worden genomen om datalekken te voorkomen. Wanneer zij deze inspecties zullen aanvatten, is moeilijk in te schatten.”

GDPR is immers niet zwart of wit. De wetgeving creëert vooral een kader met aanwijzingen waarbinnen gewerkt moet worden. De eerste maanden gaat de GBA zich volgens Verbelen dan ook vooral bezigen met het beantwoorden van vragen en begeleiden van bedrijven in hun overstap naar GDPR.

Reputatieverlies

De monsterboetes waar nu over gesproken wordt, zullen dan ook niet voor meteen zijn. “Als we bijvoorbeeld naar Nederland kijken, waar een gelijkaardig systeem al sinds 2016 in werking is, zien we dat er enkel boetes werden uitgeschreven bij hardnekkige weigeraars in hoofdzakelijk de Healthcare sector. Wanneer je kan aantonen dat je je huiswerk hebt gemaakt, en aan je maturiteitsniveau werkt, zal je bij eventuele datalekken eerder een waarschuwing mogen verwachten dan een effectieve boete”, verwacht Verbelen.

Eerder dan financiële schade, waarschuwt Verbelen dan ook voor reputatieverlies voor bedrijven die te maken krijgen met een datalek. “Je wil niet de eerste zijn die in de media komt met de vermelding dat je te licht omspringt met de privacy van je werknemers of klanten”, verwijst hij onder meer naar het schandaal met Facebook en Cambridge Analytica in de VS.

Als het op korte termijn dan toch een controle komt, zal dat waarschijnlijk naar aanleiding van een datalek zijn. “Op dat moment zal nagegaan worden welke maatregelen er binnen de organisatie werden genomen om datalekken tegen te gaan Bij een controle van de GBA dient dan de Data Protection Officer (DPO) van het bedrijf als contactpersoon.”

Hoe een mogelijke samenwerking tussen DPO en Fleet Manager kan verlopen, lees je hier.

Schrijf u nu in op FLOW, de wekelijkse e-letter van FLEET.be!